Vad innebär IMY:s beslut om Google Analytics?

2023-07-07

Många frågar om vad IMY:s (Integritetsskyddsmyndighetens) beslut om Google Analytics från den 3/7 innebär och vad man bör göra? Nedan hittar du en sammanfattning och länkar till våra hjälpdokument.

IMY:s pressmeddelande

När IMY:s pressmeddelande om besluten kom var det inte någon överraskning för dem som är insatta i frågan. Beslutet är det femte i raden som rör anmälan mot 101 EU-baserade bolag från 2020, gjord av NOYB och tidigare beslutsfattande myndigheter. Där alla dessa myndigheter, inklusive IMY, har gjort liknande bedömningar av användningen av Google Analytics.

Att många har reagerat starkare denna gång beror förmodligen på tre faktorer:

  1. Beslutet kommer från ens eget lands myndighet.
  2. IMY:s formulering i pressmeddelandets rubrik, som först löd "Bolag måste sluta använda Google Analytics" (och ändrades sedan den 6/7 till "Fyra bolag måste sluta använda Google Analytics").
  3. Detta är det första beslutet i frågan där sanktionsavgifter har utdelats.

Vad bör man göra?

Först och främst, nu några dagar efter beslutet, se till att ingenting görs eller har gjorts i panik.

Därefter är det viktigt att vara informerad om vad besluten innebär och vilka åtgärder som behöver vidtas.

Ta del av våra detaljerade hjälpdokument med information och rekommendationer här:

Vi har expertis och kan hjälpa er att navigera dessa frågor samt hjälpa med lösningar anpassade för er. Kontakta oss på info@beet.se för en konsultation som är anpassad efter er specifika situation.

Uppdatering 17/7-2023

Den 10e juli 2023 antog Europeiska kommissionen (European Commission - EC) ett adekvat beslut för nya Data Protection Framework (DPF), som ersätter Privacy Shield, angående säkra och pålitliga dataöverföringar mellan EU-USA. Användning av det nya ramverket som stöd för dataöverföringar mellan EU-USA har därmed blivit godkänt från och med den 10e juli 2023 för certifierade verksamheter.

En hemsida och information om vilka som är certifierade har släppts den 17e juli 2023 där man kan se vilka verksamheter som är certifierade. Därav att vi först den 17e kunnat veta vilka verksamheter som faktiskt är godkända även om beslutet träde i kraft direkt den 10e juli för att kunna sammanställa våra rekommendationer i samband med beslutet.

Vad innebär EC:s ’adekvata’ beslut?

I praktiken betyder det att användningen av verktyg från certifierade partners nu är tillåten även för överföring av personuppgifter. I princip, om en överföring som görs inom EU är godkänd, skulle den nu också vara godkänd för överföring från EU till USA och vice versa för överföringar som är godkända inom USA.

Vilka verksamheter är nu certifierade?

För en fullständig lista, se den officiella webbplatsen. Men det kan nämnas direkt att Google, som berördes av IMY:s beslut angående Google Analytics, är certifierade enligt DPF tillsammans med Meta, Microsoft och många andra. Därmed är användning av Google Analytics (UA & GA4) nu tillåten under DPF. Observera att det fortfarande är viktigt att följa GDPR:s riktlinjer om minimering, obfuskering och tidsbegränsning av datainsamling oavsett hur och var insamlingen görs och datan skickas.

Vad gäller då med våra rekommendationer i sektion 3 och 4?

Även om våra rekommendationer gjordes i en kontext utan DPF, är de fortfarande relevanta i en situation där DPF skulle ogiltigförklaras, i en ’Schrems-III’ situation, likt hur Privacy Shield ogiltigförklarades av Schrems-II (NOYB har redan officiellt meddelat att de kommer att utmana det adekvata beslutet för DPF och vi kan förvänta oss att juridiska processerna inleds i början av 2024).

Det finns därmed en risk att en liknande situation uppstår som de tre åren mellan Schrems-II och DPF efter ett eventuellt Schrems-III beslut, och våra rekommendationer står fortfarande som vägledning för vilka potentiella risker de minimerar om en sådan situation uppstår.

Vi kommer fortsätta att utvärdera riskerna och vara tillgängliga för teknisk rådgivning angående dessa frågor för er specifika situation på begäran